セキュリティの仕事に疲れたら、たまには休みましょう
今週も脅威情報ニュースレターをお届けします。
もうご存知だと思いますが、5 月は世界中で「メンタルヘルス啓発月間」となっています。
多くの人が、この振り返りと啓発の時間を自分の生活に当てはめて考えてみることでしょう。個人的な関係、友人関係、家族、自己表現の仕方といったことであれば、不安や気分の落ち込みなど精神衛生上の問題について話し合うのは簡単です。
ですが、毎年 5 月に話し合っていることを仕事に応用している人は少ないのではないでしょうか。結局のところ、1 日の半分以上の時間を仕事に費やしている人は多いはずです。仕事について考える時間はもっと長いかもしれません。周囲の人との関係を健全に保ち、大切な人に率直な気持ちを伝えることはもちろん重要です。ただ、仕事が心の健康(メンタルヘルス)にどのような影響を与えるかについて、誰もがもっと正直になってほしいと思います。
心の健康は特にサイバーセキュリティ業界において問題になっています。この業界で働く人の頭上には常にバーンアウト(燃え尽き症候群)という暗雲が垂れ込めているような状況です。電子メールのセキュリティ会社である Mimecast が昨年行った調査
によると、サイバーセキュリティの専門家の 84% が何らかの形でバーンアウトを経験したことがあり、それが原因で仕事に対するモチベーションが下がっていることがわかりました。
また、オーストラリアの非営利団体 Cybermindzによると、サイバーセキュリティ業界で働く人の「職務効力感」、つまり今の職務で良い成果を上げられているかについての自己評価は、一般的な業界で働く人よりも低いことがわかりました。職務効力感は、各業界のバーンアウトの割合を測定するために使用される主な指標です。
これはサイバーセキュリティ業界の問題の 1 つなのですが、いくつか理由があると思います。セキュリティ担当者が 1 日(どころか 1 時間)休みをとると「大変なことになる」、セキュリティの仕事は非常に大きなリスクを伴うことが多い、常に頭を悩ませるソーシャルメディアの呪縛がある(重要な問題の「第一発見者」でなければならない、その日の会話で気の利いたことや役に立つことを言わなければならない)といったことです。
私はサイバーセキュリティの専門家とは言えないので、この業界での実経験は多くありません。ですが、『注目のセキュリティ研究者』というブログの連載記事を書くためにチームメイトと話をしたところ、仕事以外に興味を持つことがいかに重要であるかがわかりました。
また自分の話をすると、仕事でバーンアウトを経験したことはありませんが、人生の大半で不安を抱えており、ここ数年はときどきトークセラピーに通っていました。現在は精神を落ち着かせるための薬を服用しています。だからこそ言えるのですが、「休んでもいい」のです。
これは Talos の VP である Matt Watchinski が今週、Hazel Burton と私との会話の中で語ったことです。『Talos Takes』の新作エピソードに収録されています。1 日休もうが 1 週間休もうが、仕事はなくなりません。残念なことですが、サイバーセキュリティ コミュニティが総力を挙げても、一夜にしてサイバー犯罪を阻止することはできません。また、国家支援型の脅威は 1 つのボットネットを閉鎖しただけで解決できるものではありません。
皆さんには、仕事と私生活の両方に強力な「バリア」を張ることをおすすめします。新しい趣味を見つけるとか、外出する目的を作るといったことです。たとえば Azim Khodjibaev はボート競技のコーチをしています。Talos インシデント対応チームの Giannis Tziakouris の趣味はスキューバダイビングで、Watchinski は射撃スポーツを楽しんでいます。
仕事とは完全に切り離して自分だけのものを見つけましょう。断言してもいいです。休み明け、仕事はあなたを待ち構えています。
重要な情報
「RA Group」という新たなランサムウェア攻撃グループが約 1 か月前から活動しており、米国と韓国の複数の業界の組織がすでに標的になっています。同グループは、Babuk ランサムウェアファミリから流出したソースコードを変更して使用している可能性が高いというのが Talos の研究者の見解です。RA Group は二重脅迫型攻撃を仕掛けています。他のランサムウェアグループと同様に、RA Group もデータリークサイトを運営しています。指定した期限までに連絡しない場合、あるいは要求した身代金を支払わない場合は、被害者から窃取したデータをサイトで公表すると脅迫します。
注意すべき理由
RA Group は急速に活動を拡大していて、これまでに米国企業 3 社と韓国企業 1 社を侵害しました。被害に遭った企業の業種は製造業、資産管理、保険、製薬とさまざまです。ランサムウェアは、すべての業界が直面するセキュリティ脅威の 1 つであるため、新しいランサムウェアグループの出現を常に監視しておくことが重要です。
必要な対策
Talos のブログでは、Cisco Secure 製品と Talos のオープンソースソフトウェアで RA Group の活動を検出しブロックする方法を説明しています。
今週のセキュリティ関連のトップニュース
スパイウェアの規制に対してより積極的な姿勢をとるよう各国政府に要請する動き。欧州連合は、この種の追跡ソフトウェアの購入と使用に関する基準を策定することに合意しました。スパイウェアの標的になることが多いのは、活動家やジャーナリストのように脆弱な立場にある人たちや関連組織です。欧州議会の特別委員会は今週、EU がこの新しいガイドラインに全面的に取り組む間、スパイウェアの販売、入手、使用を禁止することを決議しました。米国では、バイデン政権がスパイウェアを禁止したにもかかわらず、一部の政府機関は未だにスパイウェア(悪名高い NSO Group のツールなど)の使用を試みています。New York Times の記者が、Paragon 社に対して少なくとも 1 件の政府契約が結ばれていることを明らかにしています。NSO Group と同様、同社はイスラエルのソフトウェア開発会社でスパイウェアを製造していますが、NSO Group ほど知られてはいません(情報源:New York Times、The Guardian)。
Micro-Star International(MSI)に対する最近のランサムウェア攻撃(UEFI 署名キーの盗難など)が発生。セキュリティ業界全体に影響が広がっています。MSI にはダーク Web に流出したキーを失効させる手段がないため、今後のサプライチェーン攻撃につながることが懸念されています。攻撃者が悪意のあるアップデートを正規のソフトウェアに挿入し、MSI キーを使用してアップデートに署名する可能性があります。多くのエンドユーザーデバイスでは、デフォルトで MSI キーが信頼されています。セキュリティの研究者は、流出した一部のキーが、複数のメーカー製のデバイス上で動作する Intel BootGuard のファームウェア検証機能に対して有効であることを確認しました。ランサムウェアグループの Money Message は、4 月に初めてこのランサムウェア攻撃の犯行声明を出しました。この時点で、新たな標的として MSI を同グループのリークサイトに掲載し、プライベート暗号化キーやソースコードなどのデータのスクリーンショットだと称するものを公開しています(情報源:Decipher、Ars Technica)。
Twitter が導入を進めていると発表したダイレクトメッセージ(DM)のエンドツーエンド暗号化に今も残るセキュリティホール。同社は DM のセキュリティ監査が完了したと主張していましたが、実際のところはまだ完了していないようで、メッセージは依然として中間者攻撃に対して脆弱なままになっています。また、あるセキュリティ研究者によると、Twitter の従業員が、メッセージの閲覧が許可されているリストに自分のキーを追加することで、メッセージを簡単に盗み見ることができる可能性があるとのことです。暗号化は有料の機能であり、メッセージの送受信をする双方のユーザーが Twitter Blue のサブスクリプションに加入しているか、Twitter で認証されている組織である必要があります。またグループの会話は、この暗号化処理の対象ではありません。セキュリティとプライバシーの専門家は、安全なメッセージングを求めるのであれば、Telegram や Signal のような暗号化アプリを使うべきだと述べています(情報源:ZDNet、The Verge)。
Talos が発信している情報
- 『Talos Takes』エピソード#138:PhaaS ツール「Greatness」は何が凄いのか
- 『Beers with Talos』エピソード#135:XDR を取り巻く課題
- RA Group が流出した Babuk のコードを使って米国と韓国の企業を攻撃
- 新たに確認された PhaaS ツール「Greatness」についてシスコが警告
- Microsoft 365 のフィッシング攻撃を簡単に実行できるようにする新たな PhaaS「Greatness」が登場
Talos が参加予定のイベント
BSidesFortWayne (5 月 20 日)
フォートウェイン(インディアナ州)
脅威モデリングウェビナー:脅威情報に基づく防御の実践 (5 月 23 日)
オンライン
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
女性のためのサイバーワークショップ (6 月 8 日)
ドーハ(カタール)
REcon (6 月 9 日~11 日)
モントリオール(カナダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名: Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:7c8e1dba5c1b84a08636d9e6f225e1e79bb346c176e0ee2ae1dfec18953a1ce2
MD5: 3e0fb82ed8ea6cd7d1f1bb9dca5f2bdc
一般的なファイル名: PDFShark.exe
偽装名: PDFShark
検出名: Win.Dropper.Razy::95.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 05 月 18 日に Talos Group
Tags:
